La ola de ataques sin malware: cuando el phishing y la ingeniería social dominan sin archivos maliciosos

3P32Pf9jlV8er1qMEvd7f

En un panorama de ciberseguridad donde todo parece girar en torno a malware, ransomware y exploits técnicos, una nueva realidad gana terreno: los ataques sin malware. Silenciosos, personalizados y difíciles de detectar, estos incidentes ya dominan gran parte de las amenazas corporativas actuales.

¿Qué está cambiando?

Durante 2024, más del 79 % de las detecciones de amenazas no contenían malware tradicional. Es decir, el atacante no necesita cargar ningún archivo malicioso: le basta con engañar al usuario o explotar accesos existentes.

Estos ataques sin malware se basan en técnicas como:

  • Phishing hiperpersonalizado (spear-phishing).
  • Vishing (llamadas de voz simuladas).
  • Deepfakes aplicados al entorno corporativo.
  • Uso indebido de credenciales legítimas.
  • Secuestro de sesiones o abuso de herramientas nativas del sistema.

El impacto de la IA generativa

Los ataques de phishing aumentaron un 1.265 % en el último año, impulsados por el uso de inteligencia artificial generativa.
Modelos de lenguaje, imágenes sintéticas y voces clonadas facilitan la creación de campañas sofisticadas que antes solo estaban al alcance de grupos altamente organizados.

Con estas herramientas, los atacantes logran:

  • Redactar correos sin errores y con contexto real.
  • Simular identidades corporativas (CEO fraud, voice scams).
  • Crear videos o audios falsos que validen solicitudes de pagos, accesos o transferencias.

Las nuevas métricas del riesgo

En el primer trimestre de 2025, los ataques semanales a empresas aumentaron un 47 %, alcanzando un promedio de 1.925 incidentes por organización.
Este crecimiento está directamente vinculado a tácticas sin malware, ya que eludir las soluciones tradicionales de antivirus es cada vez más sencillo si el ataque se “disfraza” de comportamiento legítimo.

¿Cómo protegerse ante amenazas que no se ven?

Este tipo de incidentes exige una evolución en las estrategias defensivas. Algunos puntos clave:

  • Centrarse en el comportamiento, no solo en el archivo: la detección basada en análisis de comportamiento y contexto gana protagonismo.
  • Reforzar la autenticación: implementar MFA fuerte y control de sesiones para mitigar el abuso de credenciales.
  • Capacitación continua: actualizar los programas de concientización para incluir ingeniería social avanzada, deepfakes y vishing.
  • Control de privilegios: limitar el daño posible si un atacante accede con credenciales legítimas.
  • Monitoreo activo: adoptar estrategias proactivas que permitan identificar movimientos laterales o accesos anómalos en tiempo real.

En INSSIDE, abordamos esta realidad con ejercicios de Red Team que combinan simulación de adversarios, ingeniería social y escenarios reales sin malware. Una forma efectiva de medir la resiliencia organizacional y detectar, antes que nadie, dónde pueden aparecer los puntos débiles.

Los ataques más peligrosos de hoy no vienen disfrazados de virus. Vienen disfrazados de confianza.
Y protegerse exige algo más que tecnología: requiere visibilidad, criterio y adaptación constante.